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(57) Abstract: The invention relates 
to a method which is implemented on 
a computer and which is provided for 
identifying and determining fraudulent 
transaction data in a computer controlled 
transaction processing system comprising 
a prediction model for receiving current 
transaction data, for processing the ciurent 
transaction data, and for outputting at least 
one output value that depicts a probability 
of a fraudulent transaction. According 
to the invention, the prediction model is 
used to carry out the evaluation with regard 
to the risk that the current transaction is 
fraudulent, and a conesponding output 
value is generated. This evaluation is 
carried out using stored data of a time series 
analysis of earlier transactions with respect 
to the same means of payment or user and 
to e3q)e]t rules concerning parameters which 
occur in a statistically sig^nfrcam cumulative 
manner during fraudulent transactions, 
especially with respect to the origin of the 
means of payment/user, to the branch and to 



the beneficiary of the transaction, as well as to the magnimde or value of the transaction. The prediction model combines a limit, 
which is essentially based on the expert rules and which is specific for the type of transaction, with a value, which is essentially 
based on the time series analysis and which is specific for the current transaction, in order to generate the output value. The 
combination is carried out in a floating maimer so that output values can be generated which vary according to the extent of the 
suspicion of misuse and which can be used to initiate different reactions to the current transaction request 

(57) Zusammenfassung: Die Erfindung betrifft ein auf einem Rechner realisiertes Verfahren zum Identifizieren und Ermitteln 
betriigerischer Transaktionsdaten in einem rechnergesieuerten Transaktionsverarbeitungssystem mit einem Vorhersagemodell zum 
Empfangen aktueller Transaktionsdaten, Verarbeiten der aktuellen Transaktionsdaten und Ausgeben wenigstens eines Ausgangswer- 
tes, der eine Wahrscheinlichkeit einer betriigerischen Transaktion wiedergibt, bei dem auf Gnindlage gespeicherter Daten zu einer 
Zeitreihenanalyse friiherer Transaktionen 

[Fortsetzung auf der ndchsten Seite] 
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beziiglich des gleichen Zahlungsmittels bzw. Benutzers mid Expertemiegeln hinsichtlich bei betriigerischen Transaktionen statistisch 
signifikant gehauft auftretenden Parametem, insbesondere bezuglich der Heriamft des Zahlmigsmittels/Benutzers, der Branche mid 
der Person des dmrch die Transaktion Begunstigten, sowie Hohe bzw. Wert der Transaldion, mittels des Voihersagemodells die Bew- 
ertung hinsichtlich des Risikos eifolgt, dass die akmeUe Transaktion betriigerisch ist, mid ein entsprechender Ausgangswert erzeugt 
wild, wobei das PradiktionsmodeU ein im Wesentlichen auf den Expertenregeln basierendes, fiir die Art der Transaktion, spezifisches 
Limit mit einem im Wesentlichen aiif der Zeitreihenanalyse basierenden fiir die aktuelle Transaktion spezifischen Wert kombiniert, 
mm den Ausgangswert zu eizeugen, tmd wobei die Kombination gleitend afolgt, so dass je nach Starke des Missbrauchsverdachts 
verschiedene Ausgangswerte erzeugt werden komien, die zur Auslosmig tmterschiedlicher Reaktionen auf der aktueUen Transak- 
tionsanfrage benutzt werden konnen. 



wo 01/18755 



PCT/EPOO/08516 



Expertensystem 

Die Erfindung betriffi den Nachweis der betnigerischen Verwendung von 
Kundenkonten und Kontonummem, einscMieBlich von zum Beispiel Geschaften 
mit Kreditkarten. Insbesondere betriflft die Erfindung ein automatisiertes 
Betnigsnachweissystem und ein Verfahren, das ein Vorhersagemodell zur 
Mustererkennung und Klassifizierung verwendet, um Geschafle mit einer hohen 
Betrugswahrscheinlichkeit auszusondem. In der folgenden Diskussion wird der 
Ausdruck "Kreditkarte" zu Zwecken der Anschaulichkeit verwendet; jedoch 
gelten die hier diskutierten Methoden und Grundlagen auch fur andere Arten von 
elektronischen Zahlungssystemen, wie etwa Kundenkreditkarten, automatisierte 
maschinenlesbare Kassenkarten und Telefonkarten. 

Seit jeher haben die Emittenden von Kreditkarten versucht, ihre Verluste durch 
Betrug zu begrenzen, indem die betnigerische Verwendung der Karte aufgezeigt 
wird, bevor der Karteninhaber eine veriorene oder gestohlene Karte gemeldet hat. 

Ein wirksames Modell zum Betrugsnachweis soUte hohe Fangraten bei niedriger 
Verhinderung rechtmaBiger Transaktionen im Echtzeitbetrieb ergeben. Es soUte 
sich verandemden Betrugsmethoden und -muster anpassen konnen, und soUte eine 
integrierte Lemfahigkeit aufweisen, welche diese Anpassungsfahigkeit unterstiitzt. 

Die vorverSflFentlichte Druckschrift WO-A-8 906 398 beschreibt ein Element zur 
Analyse einer Transaktion mittels Datenverarbeitung: indem nur diejenigen Daten 
herausgezogen werden, die zur Analyse der Transaktion nUtziich sind; Signale 
geloscht werden, die einer Transaktion entsprechen, von der man meint, dafi sie 
auf einen Satz vorbestimmter Regeln paBt; gefiltert wird, damit nicht-signifikante 
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Abwandiiingen der zu analysierenden Transakdon beseitigt werden; und die 
Signale in eine oder mehrere Klassen» gemaB einem vorbestimmten Kriterium, 
eingeteilt werden. Dieses Element ist zur Anwendung fur die Herausgabe von 
Zahlungsautorisierungen an Kreditkartennutzer geeignet. 

5 

Eine weitere Druckschrift, EP-A-0 418 144 beschreibt ein Verfahren znr 
Begrenzung der mit einer computergestutzten Transaktion verbundenen Risiken, 
indem die Transaktionsanfrage mit vorbestimmten statistischen Daten verglichen 
wird, die als representativ zur Risikobewertung einer nicht gemaBen Verwendung 

10 erscheinen. Die statistischen Daten beschreiben die gemittelte Anzahl oder die 

M enge der wShrend der Abfolge von aufeinanderfolgenden Zeitabschnitten 
getatigten Transaktionen, und wrerden abgeleitet, indem die Zeit in 
aufeinanderfolgende nicht gleiche Abschnitte eingeteilt wird, deren Dauem so 
gewShlt sind, dafi die Wahrscheinlichkeit einer getStigten Transaktion oder der 

IS gemittelte Betrag fiir jeden einzelnen 2^itabschnitt im wesentlichen gleich sind. 

Aus der EP-0 669 032 sind ein auf einem Computer implementiertes 
Betrugsnachweisverfahren und eine entsprechende Hardware bekannt, welche 
Einrichtungen fur Vorhersagemodelle einschliefit. Aktuelle Transaktionsdaten 
20 werden empfangen und verarbeitet, was dann in einer Vielzahl von 

Ausgabewerten resultiert, die einen Trefferwert enthalten, der die 
Wahrscheinlichkeit flir eine betrugerische Transaktion darstellt. 



Dieses im Stand der Technik bekannte Verfahren erfordert mehrere Schritte, die 
25 vor den Verarbeitungsschritten filr die aktuellen Daten durchgefilhrt werden 

mussen, namlich: 

V 

Erzeugen eines Benutzerprofils fur jeden einzelnen einer Vielzahl von 
Benutzem aus einer Unmenge von Variablen bezttglich frOheren 
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Transaktionen und aus personlichen Benutzerdaten, die fur jeden Benutzer 
Werte aus einer Vielzahl von Benutzervariablen enthalten, wobei jedes 
Benutzerprofil ein Muster iur die Tatigkeitshistorie eines Benutzers 
beschreibt; 

Ableitung von Variablen, die nachgewiesenen fruheren Betrug betreffen, 
indem Daten fruherer Transaktionen vorverarbeitet werden, wobei diese 
Werte fiir eine Vielzahl von Transaktionsvariablen fur eine Vielzahl von 
fruheren Transaktionen beinhalten; 

Trainieren von Einrichtungen fur Vorhersagemodelle mit den 
Benutzerprofilen und mit den Variablen, die fruheren Betrug betreffen, um 
ein Vorhersagemodell zu erhalten; und 

Speichem des erhaltenen Vorhersagemodells im Computer. 

Dann erfolgt die Verarbeitung der aktuellen Daten, indem 

die aktuellen Transaktionsdaten fur eine aktuelle Transaktion eines 
Benutzers empfangen werden; 

die Benutzerdaten, die den Benutzer betreffen, empfangen werden; 

das mit dem Benutzer verbimdene Benutzerprofil empfangen wird; 

die erhaltenen aktuellen Transaktionsdaten, Benutzerdaten und 
Benutzerprofil vorverarbeitet werden, um fiir die aktuelle Transaktion 
Variablen bezuglich eines aktuellen Betruges abzuleiten; 
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die Betrugswahrscheinlichkeit bei der aktuellen Transaktion bestimmt 
wird, indem das Vorhersagemodell auf die aktuellen betrugsbezogenen 
Variablen angewendet ^drd; und 

von den Einrichtungen flir das Vorhersagemodell ein Ausgangssignal 
abgegeben wird, welches die Betrugswahrscheinlichkeit fiir die aktuelle 
Transaktion anzeigt. 

Dieses System stutzt sich auf ein neuronales Netz, um die Einrichtungen fur das 
Vorhersagemodell zu trainieren. Dieses Training soli hauptsachlich die 
Einrichtungen ftir das Vorhersagemodell verandem, um die Verhinderung 
rechtm^iger Transaktionen gering zu halten imd die Leistung des Systems fur den 
Betrugsnachweis zu verbessem. 

Hierbei stutzt sich das System auf einen Satz von festen (aber veianderbaren) 
Werten, die verschiedene Aspekte der Transaktion darstellen. Diese Werte 
werden in der Verarbeitung imterschiedlich gewichtet und eine wichtige Funktion 
des auf dem neuronalen Netz basierenden Trainings ist die Ver^derung dieser 
Gewichtung, was in grundlegender Weise eine "Lem"-Fahigkeit fur dieses System 
ergibt. Solche bekannten nexironalen Netze stellen eine Verkniipfimg von 
„Neuronen" im Sinne einfacher mathematischer Ubertragungsfunktionen dar, Um 
hier eine , J^emfahigkeit" zu erzeugen, wird ein entsprechender Algorithmus 
eingesetzt - z-B. gemafi EP 0 669 032 zur Anpassung der „Gewichte" bei der 
Datenbewertung im neuronalen Netz. 

Bei alledem verwendet das System fiir die Kombination der verschiedenen 
Parameter und Daten gewohnliche Logikalgorithmen lind funktionelle 
Beziehimgen, um den Trefferwert zu erhalten. £s ftihrt f!u: jede aktuelle 
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Transaktion eine Berechnung durch, die auf herkommlicher Logik basiert, 
betrachtet (spater) das Ergebnis und verandeit, wenn notwendig, den Algorithmus. 

Es ist wunschenswert, ein automatisiertes System zu schaffen, welches die 
verfugbaren Informationen 2.B- flber den Karteninhaber, Handler und Geschafte 
verwendet, um Transaktionen zu prOfen und jene auszusondem, die 
wahrscheinlich betriigerisch sind, und dabei einen relativ hSheren Anteil an 
BetrugsfMllen bei einer relativ niedrigen Verhinderung rechtmafliger 
Transaktionen auf5Gnden kann. Ein solches System soUte vorzugsweise noch fahig 
sein, mit einer groBen Zahl von voneinander abhangigen Variablen in einem 
schnellen Echtzeitbetrieb umzugehen, und soUte die Fahigkeit zur 
Rilckentwicklung des zugrundeliegenden Systemmodells als neue Muster fur 
auftauchendes Betrugsverhalten aufweisen. 

Demgemafi betrifift die Erfindung ein in einem Computer implementiertes 
Verfahren zur Identifizierung und Bestimmung von betrugerischen 
Transaktionsdaten, gemSB den Merkmalen des Anspruchs 1. 

In mancher Hinsicht verwendet die Erfindimg Merkmale, die aus der 

EP 0 669 032 bekannt sind. Auf die EP 0 669 032 wird deshalb in voUem 

Umfang Bezug genommen. 

Jedoch gibt es, wie aus der folgenden Beschreibung erkennbar, groBere 
Unterschiede zwischen der Erfindung und diesem Stand der Technik, die sowohl 
in der grundlegenden Herangehensweise und der entsprechenden Grundstruktur, 
als auch in verschiedenen Einzelheiten der Datenerzeugung und -verarbeitung 
liegen. 



Ein wesentlicher Unterschied ergibt sich daraus» daB die vorliegende Erfindung 
kein Benutzerprofil als Teil des Vorhersagemodells verwendet. Statt dessen 
arbeitet die Erfindung mit einer Kombination von einerseits Expeitenregeln und 
andererseits einer Analyse vorausgegangener Benutzungsvorgange des 
Zahlungsmittels, das fur die aktueli zu bewertende Transaktion eingesetzt wird. 

Bei den Expertenregeln handelt es sich, vergleichbar dem eingangs genannten 
Stand der Technik, um eine auf Erfahrungswerten, i.e. der Analyse firuherer 
Mifibrauchsfalle, basierende Auswahl typischer Elemente einer individuellen 
Transaktion, die eine erhohte Gefahr eines Mifibrauchs anzeigen. Relevant sind 
erfindungsgemSB insbesondere die Herkunft des Zahlungsmittels (zum Beispiel 
der Karte), die Branche und die Person des Empfangers der zu autorisierenden 
Zahlung und der Betrag der Zahlung. 

Die Analyse vorausgegangener Benutzungsvorgange desselben Zahlungsmittels 
umfafit vorzugsweise die jiingsten Vorgange, etwa die letzten ftinf bis zwanzig 
Transakdonen (kdnnte sich aber auch weiter zunick erstrecken). 

Im Gegensatz zum Stand der Technik, zum Beispiel gemaB EP 0 669 032, 
verwendet die Erfindung vorzugsweise kein herkommliches neuronales Netz, 
kombiniert mit einem Lemalgorithmus. 

Die Erfindung verwendet Fuzzy Logik zur Feststellung, ob eine bestimmte 
Transaktion als betnigerisch zu erachten ist. 

Im erfindungsgem^ bevorzugten Entscheidungssystem werden sowohl die 
Experteiu^geln als auch dem neuronalen Netz im Stand der Technik funkdonal 
entsprechenden Regeln ftir die deskriptive Statistik als Fuzzy-Regehi 
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abgespeichert, und unterscheiden sich damit nicht in der Berechnungsart, jedoch 
in der Gewinnungsart. 

Das Expertenwissen ist direkt als Fuzzy-Regeln formuiiert. Diese definieren fiir 
jede Transaktionsart ein Limit, das der (benutzerspezifischen) 
^^Risikobereitschaft'' entspricht. 

Die Information aus der Benutzungshistorie des Zahlungsmittels wird mit Hllfe 
eines „NeiiroFuzzy-Moduls" ebenfails in Fuzzy-Regeln transformiert. Das 
NeuroFuzzy Modul verwendet eine Modifikation desjenigen 
Trainingsalgorithmns, der auch bei den meisten neuronalen Netzen verwendet 
wird, namiich den Error Backpropagation Algorithmus, der weithin in der 
Literatur beschrieben ist. Da in dieser Weise die Infomfiation aus den 
Vergangenheitsdaten (also das was zum Beispiel gemafi EP 0 669 032 in den 
Gewichten des trainierten neuronalen Netzes abgespeichert wird) als lesbare und 
inteipretier-Zmodifizierbare Fuzzy-Regeln zur Verfugung steht, sind diese in jeder 
Weise erganz-, verifizier- und erweiterbar. Hinsichtlich der Eingangs- und 
Ausgangsdaten konnen die "neuronal" erzeugten Fuzzy-Regeln die gleichen 
GrdBen verwenden wie die Expertenregeln. 

Die ,^euronal" erzeugten Fuzzy-Regeln beruhen vorzugsweise auf einer Analyse 
vorausgegangener Transaktionen hinsichtlich solcher Faktoren wie dem 
durchschnittlichen Betrag der Transaktion, dem Anteil von Barauszahlungen, dem 
Anteil von Auslandseinsatzen, von Reisekostennutzungen, dem fruheren 
Auftreten von Verdachtsfallen usw. und hinsichtlich j^dynamischer*' Kriterien wie 
etwa der aktuellen Ausschopfimg des Limits der betroffenen Kreditkarte. Das 
Ergebnis dieser Analyse wird auch als ,,Zeitreihe" bezeichnet Dieses Regelsystem 
ermittelt so fur jede Transaktion ein dynamisches Risiko in Form eines „Bonus" 
bzw. „Malus". 
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Die Erfindxmg gestattet so die Verschmelzung statistischer Modelle mit 
Expertenwissen. Statt, wie beim Stand der Technik, fur jeden Vorgang einfach 
eine Betrugswahrscheinlichkeit auszurechnen, wird das flir jede Transaktionsart 
definierte Limit gleitend mit dem dynamischen Risiko („Bonus" oder „Mali]s") 
der spezifischen aktueilen Transaktion zu einem (gleitenden) Transaktionslimit 
kombiniert. 

Dies ermogiicht iinterschiedliche, differenzierte Behandlimgen „auf3falliger" 
Transaktionen, z.B. die sofortige Sperre oder statt dessen die Verweisung zur 
individuellen Ubeipnifung, z.B. durch einen Sachbearbeiter. 

Im Stand der Technik wird eine Transaktion, die oberhalb der berechneten 
Risikoschwelle liegt, normalerweise gespent; der Stand der Technik kennt 
grundsatzlich nur Freigabe oder Sperre als Ergebnis der Oberpriifiing- Die 
Erfindung ermdglicht statt dessen abgestufte Reaktionen; beispieisweise kann ein 
Verdachtsfall generiert werden (und damit in die ,^itreihe" fur diese Kreditkarte 
eingehen, die fiir zukOnftige Transaktionen herangezogen wird), obwohl die 
aktuelle Transaktion autorisiert wird. Bei starkerem Verdacht wiirde eine 
Nachprufung (referral) der aktueilen Transaktion (vor deren eventuellen Freigabe) 
ausgelost; bei noch starkerem Verdacht wiirde die Transaktion verweigert 
(decline). 

Wesentliche Unterschiede zum Stand der Technik ergeben sich auch hinsichtlich 
der Modellbildung, also der Generierung und Erkennung von Mifibrauchsmustem 
(Fraudmustem). 

Der Stand der Technik basiert auf „passiver Datengewinnung". Mit anderen 
Worten, ausschliefilich bereits vorhandene Vergangenheitsdaten werden zur 
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Modellbildung herangezogen. Das bedeutet, xim im Modell uberhaupt ein 
Fraudmuster erkennen zu konnen, mull (a) bereits genug Zeit verstrichen sein, 
damit die Fraudmeldimgen bereits zurQckgekommen sind (meist erst, nachdem die 
Kunden ihren Auszug gelesen haben), (b) miissen genug Falle fiJr ein sicheres 
Training vorhanden sein (nur so funktioniert ein neuronales Netz / es gibt 
Fraudfalle, die sehr selten sind, aber einen hohen Einzelschaden ausmachen, die 
sind so nur sehr schwer im Modell zu erfassen, © erst nach einem aufwendigen 
manuellen Retraining ist eine Immunisierung des Autorisienmgsbetriebes 
ttberhaupt mogiicli. 

Hingegen ist die Datengewinnung erfindungsgemaB „aktiv*'. Tauchen die ersten 
Verdachtsmomente eines neuen Fraudmusters auf, so werden Regeln definiert, die 
sofort eine Nachrecherchierung genau dieser Faile durch aktive Kontaktierung der 
Kunden auslosen. So stehen im Idealfall innerhalb weniger Stunden viele 
gesicherte Daten dariiber zur Verfugung, ob hier tatsachlich ein neues 
Fraudmuster aufgetaucht ist, und wie es sich von anderen Mustem abgrenzt. Diese 
Analyse laBt sich (egal mit welchem Verfehren) nSmlich erst durchfiihren, wenn 
genug gesicherte Daten vorhanden sind. 

Die Methodik der Modell-Erstellung im Stand der Technik flihrt dazu, daB die 
Erfahrung menschiicher Analysten zu wenig genutzt werden kann und 
Erwartungen uber zukunftige Fraudmxister nicht Eingang finden konnen. Im Stand 
der Technik bildet das neuronale Netz praktisch eine „black box" festgelegter, 
starrer Kriterien, die nur noch „automatisch", also als Ergebnis wiederum vorher 
festgelegter Algorithmen, hinsichtlich der „Gewichte" modifiziert werden. Soweit 
uberhaupt Expertenregeln zusammen mit neuronalen Netzen eingesetzt werden, 
laufen neuronales Netz und Expertenregeln unabhangijg nebeneinander. Durch den 
NeuroFuzzy-Ansatz ist das mit Daten trainierte pradiktive Modell keine black box 
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mehr, sondem wird in Form von Fuzzy-Regeln erzeugt. Diese sind direkt von 
Experten interpretierbar und modifizierbar. 

Die erfindimgsgemafien gleitenden Transaktionslimits erlauben eine 
5 wirkungsvolle Kombination von „hard facts" und „soft facts". Dies ermoglicht 

eine Modellierung der „soft" und ,Jiard" facts in konsistenter und kooperativer 
Weise. Bei dem „black-box"-Ansat2 im Stand der Technik ist das nicht wichtig, 
denn dort findet keine wissensbasierte Modellierung statt. Bei der Erfindving, die 
es ermoglicht und vorzugsweise auch vorsieht, dafi automatische Modellbildung 
10 und menschliche Expertise im laufenden Betrieb kombiniert werden, ist dies sehr 

relevant. 



Im folgenden wird die Erfindimg an einem Ausftihrungsbeispiel nSher erlautert, 
welches gegenwSrtig besonders bevorzugte Ausgestaltungen des 
15 erfindungsgemafien Grundprinzips imifafit. 

Das Ausfiihrungsbeispiel betrifift ein Autorisierungssystem fur Kreditkarten- 
Transaktionen und damit eine Grundkonstellation ahnlich der im eingangs 
behandeiten Stand der Technik. Axis einem vorhandenen Netzwerk, das 
20 Nutzungsstellen fiir die im System benutzbaren Kreditkarten umfaBt, konunen 

Autorisierungsanfragen, die in Echtzeit bearbeitet und beantwortet werden 
mussen. 



25 



Die Bearbeitung der Autorisierungsanfiagen erfolgt im erfindungsgemafi 
ausgestalteten Autorisierungssystem, das schematisch in den Figuren 1 bis 4 
gezeigt ist. 
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Das System umfaBt im Ausfiihrungsbeispiel mehrere Rechner, kann aber natiirlich 
auch auf einem Zentralrechner oder mittels eines Rechner-Netzwerks realisiert 
werden. 

Im Beispiel umfaflt das System einen „Tandem"-Rechner mit einer Datenbank A, 
einen „SGr-Server (SQL-Server) mit einer Datenbank B und ein „Hostsystem" 
mit einer Datenbank C. 

Auf dem Tandem-Rechner ist eine Software implementiert, die fiir 
Datenubergaben, Data Preprocessing (Kriterien-Ableitung), 
Zeitreihenberechnungen und -aktualisierungen etc. dient, wie spSter noch deutlich 
werden wird. Weiterhin ist auf dem Tandem-Rechner die erfindungsgemaBe 
Entscheidungslogik implementiert, die Fuzzy-Expertenregeln imd Neuro-Fuzzy- 
Modeile umfaBt und die Entscheidung uber die Autorisierungsanfiagen trif5ft. Die 
auf dem Tandem-Rechner implementierte Software wird im folgenden 
zusanunenfassend als „NeuroFuzzy Inferenzmaschine" (NFI) bezeichnet. 

Der SGI-Server dient, gegebenenfalls zusammen mit einer entsprechenden Zahl 
von PC-Clients, insbesondere zur Implementierung der Software fur den 
„Investigation Workflow'' (IW) fiir die Nachbearbeitung von Verdachtsfallen, und 
fiir das „Online Data Mining Module" (ODMM), wie spater noch erlautert werden 
wird. 

Das Hostsystem enthalt und erhSlt die wesentlichen historischen wie aktuellen 
Daten zu Zahlungsmittel und Nutzer, die fiir die Bearbeitung der 
Autorisierungsanfiragen bendtigt werden. 

Figur 1 zeigt den grundsatzlichen Informationsaustausch wie folgt: 
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Das Autorisierungssystem erlangt Daten (1) fur ein Cardholder File aus der 
Datenbank [C] des Hostsystems. Bei einer Anderung der Daten des Cardholder 
Files warden nur die f&r die Autorisiemng relevanten Daten einer Kartennummer 
auf das Autorisierungssystem iiberspielt. Ereignisse wie Kartenspemmgen mit 
einer hohen Priorit&t warden sofort ubertragen, andere mit einer kleineren Prioritat 
erst wesentlich spater. Der Datentransfer (Update) erfolgt stOndlich. 

Der SGI-Server erh^t (2) liber das bestehende Netzwerk vom Tandem- 
Autorisierungsrechner die Autorisierungsanfiragen, versehen mit der von NFI 
ausgelosten Aktion (diese besteht aus: Fallwichtigkeit, Fallklasse, Fallschwelle, 
Referralentscheidung, Risko-Score, Limit und Action Code) sowie die aktuelle 
Zeitreiheninformation. (Die hierfiir erforderlichen Echtzeitanforderungen liegen 
im Bereich von Minuten. Die Gesamtinformation zu einer Autorisierungsanfrage 
wird von der NFI zu einer Nachricht komprimiert, die dann an den SGI-Server 
flbertragen wild.) 

Weiter erhalt der SGI-Server vom Hostsystem alle Postinginformationen, 
Mifibrauchsinformationen und gegebenenfalls Karteninhaberstanmidaten, die 
nicht aus der Cardholder File extrahiert werden koimen (3). Die Datenbank des 
SGI-Servers [B] speichert diese Daten je nach Speicherausbau so lange wie 
erforderlich. Der SGI-Server beherbergt die Serverkomponente sei es des 
Supervisory Workflow (ODMM) als auch des Investigation Workflow (IW). 

Figur 2 zeigt den DatenfluB bei vermuteten bzw. erkannten Mifibrauchsfallen. 

Der Investigation Workflow (IW) (6) dient der Bearbeitung der erkannten und 
vermuteten Fraudf^le, insbesondere durch Mitarbeiter (Call-Center). 
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Im Call-Center wird festgestellt, ob es sich bei den vermuteten MifibrauchsfMlen 
urn tatsachliche Mifibrauchs^le handelt. Es erfolgt eine entspiechende Mitteilung 
(7) an den SGI-Server. 

Neben dieser ersten Hauptaufgabe erfiillt der SGI-Server noch eine weitere 
Hauptaufgabe: 

Die Datenbank des SGI-Servers speichert die fur das Entdecken neuer 
Fraudmuster erforderlichen Daten und bereitet diese fiir eine Analyse durch das 
Online Data Mining Modul (ODMM) auf. Hierfiir werden die 
mifibrauchsrelevanten Daten in der Datenbank [B] zwischengespeichert. Im Fraud 
Supervisory Center werden dann mittels dieser Informationen (4) neue 
Fraudregeln definiert und die vorhandenen Fraudregeln werden kontinuierlich auf 
ihre Wirksamkeit hin iiberpnift. 

Die entsprechend modifizierten Fraudregeln in Form einer Datei werden vom 
Fraud Supervisory Center auf den Autorisierungsrechner ubertragen (5). Hierzu 
wird vom PC aus die Datei auf den SGI-Server gebracht. Auf dem SGI-Server 
wird ein automatischer Job installiert, der erkennt, wenn der Timestamp der Datei 
sich geandert hat, und in diesem Falle einen Austausch der Datei auf der Tandem 
vomimmt, als auch der NFI mitteilt, dafi es diese Datei neu einlesen muB. 

Es ergeben sich somit insgesamt zwei Workflows (Figur 4): 

1 . Der Supervisory Workflow ODMM paBt die Entscheidungsstrategie des 
Priventionssystems kontinuierlich an die sich andemden Mifibrauchsmuster an. 

2. Der Investigation Workflow IW kontroUiert die Entscheidungen des 
Preventions- 
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systems durch Einzelbearbeitung der gemeldeten und vermuteten 
Mifibraiichsfdlle. 

Beide Workflows sind indirekt fiber die (mitdere) operative EDV-Ebene 
5 verbunden. Wird im Supervisory Workflow die Entscheidungsstrategie 

modifiziert, so werden vom Praventionssystem andere Referrals generiert, die im 
Investigation Workflow nachrecherchiert werden. 

Nicht vom Praventionssystem rechtzeitig erkannter MiBbrauch sowie falschlicher 
10 MiBbrauchsverdacht wird vom Investigation Workflow verifiziert und in der 

Datenbank des SGI-Servers abgelegt. Hierauf greift das Online Data Mining 
Modul (ODMM) zu und schlagt den Fraudexperten im Fraud Supervisory Center 
entsprechende Modifikationen der Entscheidungsstrategie vor. 

15 Die gesamte Berechnung, also der FluB der Fuzzy-Inferenz durch das Regelwerk, 

sowie die gesamte Profiibildung und -initialisierung, wird von der NFI selbst 
ubemommen; es ist keine exteme Steuerung erforderlich. Die Schnittstelle enthalt 
weitere Funktionen zur Initialisierung und Konfiguration der Entscheidimgslogik 
(diese Funktionen mfissen eimnal beim Laden des Pr^ventionsmoduls aufgerufen 

20 werden), die aber nicht pro Autorisierungsanfrage aufgerufen werden mfissen. 

Die SQL-Datenbank des Autorisierungsrechners (Cardholder File) wird um ein 
Feld "Zeitreihe" erganzt. Dieses Feld speichert die letzten Autorisierungsanfragen 
zu dieser Kartennummer (Nutzungsprofil) in komprimierter Form ab. Wenn eine 
25 Autorisierungsanfrage in das System kommt, wird der komplette Datensatz der 

Karte aus der Datenbank geladen. Hier mufi nun zusStzlich noch das Binarobjekt 
"Zeitreihe" aus der Datenbank geladen imd dem NFI zugefuhrt werden. Das 
Binarobjekt Kartennutzungsprofll wird in einer stark komprimierten Form erzeugt, 
so dafi es in Form eines String in der SQL-Datenbank eflfizient fur den 
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EchtzeitzugriflFgespeichert werden kann. ZusStzliche Rechenzeit durch das 
Auslesen und Wiedereinspeichem des Kartenprofils bei jeder 
Autorisieningsanfi:age wird keinen sptirbaren Rechenaufwand bedingen, da der 
Datensatz einer Karte sowieso bei jeder Autorisierungsanfrage ausgelesen wird. 
Nach der Entscheidung aktualisiert das NFI die Zeitreihe um die jetzt gerade 
eingegangene Autorisierung. Genau wie die durch die Autorisiening 
aktualisierten Limits muB auch die aktualisierte Zeitreihe wieder in die Datenbank 
zunickgeschrieben werden. 

Weiterhin wird die Cardholder File erganzt um zwei Datumsfelder, je eines fur 
"kein Referral bis" (Dieses Feld wird bei einem positiv beantworteten Referral 
gesetzt, um sicherzustellen, dafi nicht sofort nach einer positiven ID des 
Karteninhabers dieser bei der nSchsten Transaktion direkt wieder einen Referral 
erhait) und ernes fiir "Kurzreferral bis" (bei akutem Verdacht wird dieses Datum 
gesetzt, um bis zu diesem Datum bei jeder Autorisierungsanfrage einen Referral 
zwangsweise zu erzeugen.). Diese Felder werden tlber das Autorisierungssystem 
gesetzt Oder zuruckgesetzt. Die Daten werden vom Autorisierungssystem an die 
NFI ubergeben, die NFI wertet die Daten aus und entscheidet, ob ein Referral oder 
Decline, und gegebenenfalls ein Fall generiert werden soil. Da die NFI 
gegebenenfalls auch mandantenabhangige Regeln enthalt, muB die NFI den 
Mandanten aus der Kartenununer erkennen. (Mandant ist z.B. der Kunde der 
Processingfirma, fiir welchen das Fraudprocessing durchgefiihrt wird) 

Die Entwicklungskomponente ist Bestandteil des Supervisory Workflow und eine 
grafische Entwicklungs- und Analysesoftware, die auf Windows/NT Workstations 
(Clients) installiert wird. Hierbei kann es sich um vorhandene Rechner handeln, 
der auch fiir andere Aufgaben genutzt wird, oder es kann ein eigener Rechner 
bereitgestellt werden. 
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Von der Entwicklungssoftware aus kann der Entwickler das Fiizzy- 
Entscheidimgssystem der Tandem modifizieren. Hierbei wird in keinem Fall der 
laufende Autorisierungsprozefi gestoppt, gest6rt oder verlangsamt. 

5 Werden neue Betrugsprofile bekannt, so erlaubt die Entwicklungskomponente, 

diese durch Modifikation bekannter und Definition neuer Regein zu 
berucksichtigen. Dabei weiden diese neuen Regein und modifizierten Regein in 
die NFI ubertragen, wo sich die neuen Regein augenblicklich auf das 
Autorisieningsverhalten auswirken. 

iO 

Alle Autorisierungsanfragen werden von der Tandem iiber TCP/IP an den SGI- 
Server (ibergeben. Der SGI-Server legt ftir jede Autorisierungsanfi^e einen neuen 
Record an und filUt diesen mit alien erforderlichen Information. 



15 Liegt die Fallwichtigkeit einer Autorisierungsanfirage fiber der Fallschwelle, so 

legt der SGI-Server zusatzlich einen Fall an. Ein Fall besteht aus einem Eintrag in 
der Falltabelle und den hierzu gehorigen Untertabellen. 



20 



Zusammengefafit: 

Jede von der Tandem eingehende Message beschreibt eine Autorisierungsanfirage. 



Fiir jede Autorisierungsanfirage wird ein Record angelegt. 



25 



Die Fallerzeugung ist von den Referrals vmabhangig, d.h. es kann ein Fail erzeugt 
werden, ohne daB ein Referral erzeugt wurde und es kaim ein Referral erzeugt 
werden ohne dafi ein Fall erzeugt wird. 
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Diese Schnittstelle ist auf Seiten der SGI-Server erstellt. Die Erzeugung der 
entsprechenden Eintrage in den Tabellen des SGI-Servers ebenfalls. 

Zur Nachbearbeitung der moglichen Betrugsfdlle und Referrals dient der 
Investigation Woiicflow. Hierbei wird fur die Fallsortiemng die von der NFI 
ermittelte Fallwichtigkeit zugrundegelegt. Ob oder ob nicht fur diese 
Autorisiemngsanftage ein Referral generiert wurde, ist ftir die Generierung eines 
Falles unerheblich. Die Fallgenerierung arbeitet mit einer eigenen 
Entscheidungslogik, die auch Regein abweichend von den Betrugsregein enthalten 
kann. Hierdurch lassen sich Praventionsstrategien sozusagen "erstmal im 
Trockenen" ausprobieren. Damit konnen im Investigation Workflow auch solche 
Falle nachverfolgt werden, bei denen der Verdacht nicht fiir eine 
Referralgenerierung ausgereicht hat 

Komprim ierte Speichenmg der Autorisierungshistorie TZeitreihe"^ 

Die NFI arbeitet mit neuronalen Modellen, die auf der Analyse firuherer 
Transaktionen beruhen. 

Problem einer solchen Analyse ist, dafi wShrend der Bearbeitung einer 
Autorisierungsanfrage keine Abfiage und Analyse vergangener Transaktionen in 
Echtzeit mOglich ist Daher muB die NFI eine Kurzhistorie in einem Ringpuffer 
zwischenspeichem. (Ein Ringpuffer ist ein Speicher mit einer festen Anzahl von 
Platzen, die hintereinander geschaltet sind. Jedes neu gespeicherte Objekt wird 
"vome" in den Ringpuffer hineingeschoben, was alle bereits im Ringpuffer 
befmdlichen Objekte je eine Position weiterschiebt. Das Objekt auf dem letzten 
Platz Mil dabei voUig aus dem Ringpuffer heraus.) Besonders wichtig ist hier, daB 
diese Zeitreihe so wenig Speicherplatz wie mdglich erfordert (jedes Byte pro 
Karte ergibt einen Nettospeicherplatzbedarf von ungej^hr 7 Megabjrte in der 
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Datenbank des Autorisierungsrechners), und so schnell und effizient wie moglich 
gelesen und geschrieben werden kann. 

Aus diesem Grunde basiert die Zeitreihenbildung auf einem AJgorithmus, der 
diesen Ringpuffer so erzeugt und aktualisiert, dafi dieser effizient zu speichem 
und zu berechnen ist. Zur Speicherung wird eine komprimierte Speicherung im 
umgewandelten Ganzzahlfonnat verwendet. 

Die Zeitreiheninformation stellt dabei z.B. eine verdichtete Historie der letzten 15 
Autorisierungsanfragen dar, die eine Berechnung von dynamischen Kriterien 
(Ausschopfung, Panik, Tankstellennutzung,...) ermoglicht. Die 
Zeitreiheninformation erlaubt zudem die Ermittlung von aggregierten GroBen wie: 
Durchschnittliche Einkaufshdhe, Anteil Cashing, Anteil Ausiand, Anteii 
Reisekostennutzung, wann wurde zum letzten Mai ein Referral ausgesprochen und 
wann wurde zum letzten Mai ein Referral beantwortet 

Da die Zeitreiheninfonnation IS mal (f&r jede Autorisierungsanfrage im 
Ringpuffer) abgespeichert werden muB, ist hier eine Komprimierung der 
Information besonders wichtig. 

Da in der Datenbank das Profil als Binarobjekt (Stringformat) abgespeichert wird, 
konnen die einzelnen Teilinformationen jeder Transaktion im Ringpuffer als 
Ganzzahlen beliebiger Bitlange codiert werden. Es wurde allerdings eine 
sumvolle Aufteilung einzelner Bitlangen auf die Bytes des Stringformats gewahlt, 
damit die Berechnung und Aktualisierung der Profile nicht zu rechenaufwendig 
wird. Hierdisrch ist nicht immer "auf Bit genau" die kurzestmdgliche 
Speicherform gewahlt, sondem es ergibt sich ein Kompromifi aus Speicherplatz- 
bedarfininimierung imd Rechenperformancemaximierung. 
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Zu den gespeicherten Feldem im einzelnen: 
- Datum 

Die Abspeicherung des Datums im Minutenformat emioglicht das einfache 
Berechnen von Zeitdifferenzen im Ganzzahlarithmetik einer 16-bit Zahl (mit 16- 
Bit Minutenaufldsung lassen sich maximal 45 Tage darstellen, was fiir die 
Berechnmig von Zeitdifferenzen im Profil ausreicht). 

Die bei Subtraktionen solcher Minutenwerte resultierenden 16-Bit Werte fur die 
Zeitdifferenzen werden direkt ohne rechenaufwendige Umskalierungen als 
EingangsgroBen der NFI verwendet. 

Mit der maximalen Speicherlange des Minutendatums nach Stichtag von 24 Bit 
muB allerdings ein Reset der Profilinformationen alle 31 Jahre erfolgeiL 

1st dieser Eintrag "Datum" gleich "0", so bedeutet das, daB dieser Eintrag im 
Ringpuffer noch nicht verwendet ist. 

-Betrag 

MuB durch 10 dividiert werden, um den Euro-Betrag zu ergeben. Hierdurch ergibt 
sich eine optimierte Ausschopfung des 20 bit Zahlenbereiches. 
Betragsabweichungen unter Euro 0,10 sind fur die MiBbrauchspravention 
unerheblich, und der maximale darstellbare Betrag von uber Euro 100.000,00 ist 
auch ausreichend. Angefragte Werte uber Euro 100.000,00 werden auf Euro 
100.000,00 im Ringpuffer abgeschnitten. 



-MCC 



wo 01/18755 



PCT/EPOO/08516 



-20- 



10 



15 



Enthalt den Branchencodes des Vertragspartners, der die Autorisierung angefirs^ 
hat. 



ICA 



Beschreibt alle Issues anhand ihrer IC A-Nummem. 
Country Code 

Fiir die Zeitreihenbetrachtungen reicht der Country Code zur 
Herkunftsbestimmung aus. Dieser ist maximal dreistellig, daher reichen 1 0 bit zur 
Darsteilung aus (nach MC Quick Reference Booklet, Oktober 97). 



-POS 



Nimmt die 5 moglichen POS Entry Modes auf. Zwar wilrden 3 bit ausreichen, um 
die 5 mdglichen POS Entry Modes darzustellen, doch bietet die Darsteilung in 4 
20 bit rechnerische Vorteile. 



Status 



Status beschreibt beispielsweise, ob das Verfallsdatum falsch war, oder ob ein 
25 CVC Problem aufgetreten ist, etc.. (Auf der Magnetkarte ist die Kartennummer 

um einen dreistelligen Code (CVC-1) erweitert. Dieser dreisteilige Code ist nicht 
errechenbar. Damit ist uber diese Priifung eine recht gute Identifikation einer 
echten Karte mSglich.) Hierdurch ist gewahrleistet, daB auch nichtautorisierte 
Anfiragen in dem Profil beriicksichtigt werden konnen. 
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Fraud Supervisory Workflow 

Der Fraud Supervisoiy Workflow umfafit alle Werkzeuge, die verwendet werden, 
um die Entscheidungslogik zu kontroUieren und zu warten. Im einzelnen sind 
dies die Module: 

- Online Data Mining Modul 

Zur systematischen Erkennung neuer MiBbrauchsmuster, sowie zur 
kontinuierlichen Priifung der Treffsicherheit aktuell definierter 
Entscheidungsregeln. 

- Entscheidungslogik 

In diesem Modul werden die Entscheidungskomponenten entwickelt, liberwacht 
und gesteuert. 

- Analyse-NFI 

Die Anaiyse-NFI dient dem Test neuer Entscheidungslogiken an 
Vergangenheitsszenarien. 

Online Data Mining Modul (ODMM^ 

Das Online Data Mining Modul besteht sowohl aus einer Serverkomponente auf 
dem SQL-Server als auch aus einer Clientkomponente auf PC. Die 
Clientkomponente arbeitet mit dem Server uber Pass-Through Queries und 
verkntipfte Tabellen zusammen. 
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Das ODMM arbeitet mit den Tabellen, in denen die fur die Analysen 
erforderlichen Autorisienmgsanfiragen und Falle abgelegt sind. 

5 Der ODMM Client erhalt folgende Informationen zu jeder Transakdon: 

- Kartenmimmer (Zusammen mit Datum imd Zeit der Transaktion dient diese 
Information 

der eindeutigen Zuordnung jeder Transaktion (Schltissel). Da zu einer 
10 Transaktion 

mehrere Ereignisse (zum Beispiel mehrere Autorisienmgsanfiragen, 
Mifibrauchs- 

meldungen, beantwortete Referrals, etc.) gehoren konnen, die zu 
unterschiedlichen Zeiten 
15 stattfinden kSnnen, wird bier immer das firuheste Datum eingesetzt. Dies 

entspricht 

der Logik, dafi die zu dieser Transaktion gehdrenden Ereignisse sich alle auf den 
ersten Zahliingswunsch beziehen, der im System bekannt geworden ist. 

20 - Datum und Zeit der Transaktion 

- Betrag in Euro 

- Typ der Transaktion (autorisierte oder nichtautorisierte Transaktion; bei nicht- 
25 autorisierten Transaktionen liegt beispielsweise keine AutorisierungsanfiiBge vor, 

jedoch kann beispielsweise ein Posting und eine Mifibrauchsmeldung vorliegen) 

- Mifibrauch (ist Mifibrauch aufgetreten?) 
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- Referral (ist ein Referral generiert worden, wenn ja, wie beantwortet) 

- Informationen aus der Autorisieningsanfiage oder dem Posting (Branchencode, 
Country Code Herkunft, POS Entry) 

- Zufallszahl (Answahl einer Stichprobenmenge) 

Die Tabellen, die diese Informationen liefem, werden von den ODMM Clients 
uber Pass Through Queries abgefiagt. 

Der Server ordnet im Nachhinein eintreffende MiBbrauchsmeldungen zu bereits in 
der Tabelle TRX eingetragenen Transaktionen zu. Ebenfalls werden die 
Ergebnisse fur die statistische Komponente aktualisiert 

- Rasterfahndung 

Die Rasterfahndung lauft als Pass-Through Query auf dem Server und generiert 
eine Tabelle mit Regeln, die aktuell nicht aktiviert sind und von denen es siimvoU 
ware, sie au&unehmen. Jeder Regel ist eine Mifibrauchssimune zugeordnet, die 
im Untersuchungszeitraum hatte verhindert werden konnen, wenn diese Regel 
aktiv gewesen ware. Um diese Aussage zu verifizieren, enthalt jede Regel auch 
das Verhaltnis falschlich zu gerechtfertigt abgelehnter Autorisierungsanfragen 
(F/P-Rate), die Anzahl gerechtfertigter und die Anzahl nicht gerechtfertigter 
Referrals, welche die Beurteilimg zur Aufiiahme oder Ablehnung der Regel 
ermoglichen. Es ist moglich, die Regeln vorweg durch Angabe eines bestimmten 
MiBbrauchsbetrags und F/P-Rate zu filtem. Bei kleineren Summen oder hoheren 
F/P-Raten werden die gefundenen Regeln ausgeblendet. Auch die Gewichtung 
zwischen der Mifibrauchssumme und der F/P-Rate kann bei der Sortierung 
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eingestellt werden. Damit kann bei jeder Rasterfahndung emeut festgelegt 
werden, wie bedeutend jede der beiden Grofien fiir die Untersuchung sein soil. 

- Regeloptimierung 

5 

Die negativ beantworteten Referrals, die keinen Mifibrauch bestatigen konnten, 
dienen der Empfehlung zur Deaktivierung von Regeln als Grundlage. Wird ein 
Referral negativ beantwortet, so wird der dazugehorige Datensatz nicht mehr als 
Mifibrauch» sondem als gute Transaktion in die Analyse einfliefien. SoUte sich 

10 dann herausstellen, dafi die Regel nicht genug Mifibrauch verhindert hat und zu 

viele gute Transaktionen verhindert hat, so wird sie zur Deaktivierung 
vorgescUagen. Auch in dieser Analyse kann die Gewichtung zwischen der 
Nfifibrauchssumme und der F/P-Rate eingestellt werden. Damit kann auch hier 
bei jeder Rasterfahndung emeut festgelegt werden, wie bedeutend jede der beiden 

15 GrSfien ftir die Untersuchung sein soil. 

Entscheidunpslopik 

Der Zugriff auf die Entscheidungslogik erfolgt iiber den Fraud Supervisory 
20 Workflow: 

Der Block "Fraud Supervisory Workflow" steUt die PC-Netzwerke im Stab-SI dar. 
Diese verwalten beliebig viele Entscheidungslogiken, sei es zur Archivierung als 
auch als Zwischenstande der Entwicklung. (Die eigentlichen Daten fur die 
25 Entscheidimgslogiken werden zentral auf dem SGI-Server gespeichert, so dafi alle 

Fraud-Analysten hierauf Zugriff haben. Der ZugrifT auf diese 
Entscheidungslogiken erfolgt durch die PC mit der "Fraud Supervisory 
Workflow" Software.) Jede der Entscheidungslogiken besteht aus den drei 
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Komponenten Listen, Zeitreihe iind Regeln. Durch Druck auf die jeweilige Taste 
affiien sich die entsprechenden Editoren fiir die Komponenten. 

fai Produktivbetrieb lauft immer die Entscheidungslogik "Betrieb". Durch Druck 
der Taste [flbertragen] wird die aktueil im PC entwickelte Entscheidungslogik 
"Betrieb" auf die Tandem iibertragen und aktiviert. 

Auf dem SGI-Server laufen beide Entscheidimgslogiken fur die Szenarienanalyse. 
Durch Druck der Taste [ubertragen] wird die aktueil im PC entwdckelte 
Entscheidungslogik "Test" auf die SGI-Server iibertragen und aktiviert. 



wo 01/18755 



PCT/EPOO/08516 



-26- 

Voreehensweise bei der Entwicklung 

Die grunds&tzliche Vorgehensweise bei der Entwicklung von 
Entscheidungslogiken ist die foigende. Auf dem Autorisieningsrechner lauft die 

5 Entscheidungslogik "Betrieb". Durch Dnicken der Taste [ubertragen] wird die 

Entscheidungslogik "Test" mit der Entscheidungslogik "Betrieb" uberschrieben. 
(Hierbei handelt es sich nicht um ein physikalisches Uberschreiben von der 
Tandem auf die SGI-Server. Die SGI-Server verfugen ebenfalls iiber eine Kopie 
der Entscheidungslogik, wodurch das tJberschreiben direkt auf den SGI-Servem 

10 ausgefiihrt wird.) 

Hierdurch kann nun die Entscheidungslogik ''Test" auf dem PC modifiziert 
werden und mit Hilfe der Analyse-NH erfolgt der Test von Modifikationen durch 
direkten Vergleich des "Test"-Systems mit dem "Betriebs"-System. 

15 

Sind die an der Entscheidungslogik "Test" durchgefuhrten Modifikationen 
erfolgreich, so wird durch Driicken der Taste [ubertragen] die Entscheidungslogik 
"Test" mit der Entscheidungslogik "Betrieb" uberschrieben. Nachdem die neue 
Entscheidungslogik in Betrieb gegangen ist, fangt die Vorgehensweise emeut an. 

20 

Jede neue Transaktion wird von der NFI-Maschine mit einer 
Fallwtirdigkeitsbeurteilung versehen. Ein Hilfsmodul kennzeichnet eine 
Transaktion als Fall, wenn sie ein Fallkriterium erfttllt (MCC, ICA, CNT, POS, 
Betragsklasse, Fallwiirdigkeit). 

25 

Wie weit die Historie der Transaktionen und Postings eines Vorgangs zunickgeht, 
kann wahlweise bestimmt werden. Als sinnvoU wird ein Zeitraimi von 4-6 
Wochen erachtet. 
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Gehort eine Transaktion zu einer Kategorie aller moglichen FSlIe, so wird ein 
neuer Record in der Investigation Workflow eigenen Tabelle angelegt. Dieser 
Record enthalt folgende Einzelinformationen: 



5 - Kartennummer 

- Transaktionsdaten (DatumAJhizeit, MCC, CNT, ICA, POS, Betrag,) 

- Fallstatus (ist der Fall neu oder wurde er abgeschlossen) 

- Fallwichtigkeit (die Fallwichtigkeit FW steilt den NFI-Score dar) 

- Fallklasse (Die Fallklasse gibt an, warum eine Transaktion zu einem 
10 Nachbearbeitungs- 

fall geworden ist bzw. zu welcher Kategorie die Transaktion gehort. Die 
Kennung 

beinhaltet folglich Angaben fiber MCC, ICA, CNT, POS, Betragsklasse, FW.) 

- Benutzemame 

15 - Wiedervorlagedatum 

- Close-Status (Der Close-Status eines Falls gibt Auskunft tiber das Ergebnis der 
Bear- 

beitung nach SchlieBen des Falls und kann folgende Information enthalten: "Kein 
Betrug" 

20 Oder "kein Betrug geschatzt", "Betrugsbestatigung unmoglich" oder "Betrug" 

Oder 

"Betrug geschatzt".) 

Die Kartennummer ist das Bindeglied (Zeiger) zu den vergangenen Transaktionen 
25 mit derselben Kartennummer auf dem DBMS des SGI-Servers. Zusammen mit 

den Stammdaten der Kartennummer sind alle Daten f&r den Fraud Investigation 
Workflow vollstandig. 



EingangserdBen der NFI 
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Die NFl wird fiber ein TokenprotokoU in den Ablauf der Autorisierung integriert. 
Hieraus entninunt die NFI alie Eingangsgrofien sowie die Zeitreihe als 
Binardatenobjekt (String). 

Als Sonderform der Autorisierungen hat die NFI die Nachrichten fiber eine 
Referralsperre oder ein Referral_bis zu interpretieren. 

Referral_bis: Der Parameter Referral _bis (Kurzreferral) wird bei 
MiBbrauchsverdacht zur Verhinderung von Genehmigungen benutzt. Es wird 
manuell mittels einer Autorisierung aktiviert. 

Die NFI speichert das Referrai_bis Datum im Kartenprofil ab und fiberpruft bei 
der Autorisierung, ob das Transaktionsdatum kleiner dem Referral_bis Datum ist. 
1st dies der Fall, wird immer ein Referral von der NFI generiert. 

Das Referral_bis Parameter wird zur Analyse und Rekonstruktion als Bestandteil 
des Transaktionsdatensatzes fiber die TCP/IP-Schnittstelle zum SGI-Rechner 
fibertragen. 

Referralsperre: Die Referralsperre wird dazu benutzt, nach einer positiven 
Identifikation oder nach Sichtung der vergangenen Transaktionen die weitere 
Auslosung von Referrals zu unterbinden. Die Referralsperre kaim die Zustande 
"gultig" oder "nicht gultig" annehmen. Ist sie "gultig", so wird ein vorher 
eingestellter Parameter, der einen festen Offset vom aktuellen Transaktionsdatum 
(zum Beispiel Transaktionsdatum + 3 Tage) angibt, aktiviert. Die Referralsperre 
ist immer in Form des Datums gegeben, bis zu dem sie gehen soil. Es kaim ja nur 
zum aktuellen Zeitpunkt bestimmt werden, ob die Sperre damit gultig ist oder 
nicht. 
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Die Referralsperre kann einerseits vom Investigation Workflow aus aktiviert 
werden. Andererseits kann die Referralsperre auch indirekt vom 
Genehmigungsservice ausgelfist werden» wenn nach einem Referral eine positive 
Identitms-UberprOiimg stattgefimden hat Nach einer positiven Identitats- 
Oberprufung wird vom Genehmigungsdienst eine Transaktion ausgelfist, die in 
der NFI verarbeitet wird. Die NFI schreibt die aktuelle Referralsperre m die 
Cardholder File auf dem Autorisierungsrechner. 

Der Fall, daB sowohl eine Referralsperre als auch das Referral_bis Datum gultig 
ist, muB vermieden werden. Daher wird beim Setzen eines Wertes (zum Beispiel 
Referral_bis) der jeweils andere geloscht (zum Beispiel Referralsperre). 

Inteme Ausganesgrfiflen 

Liegen alle Eingangsgrdfien vor, die von der NFI verwendet werden, so erzeugt 
die NFI intern 6 Ausgangsgrofien: 

1. Limit 

2. RiskScore 

3. Fallwichtigkeit 

4. Fallschwelle 

5. Fallbegrundung 

6. Decline 

Hierfoei stellt Limit direkt das transaktionsindividuelle Limit Sir die aktuelle 
Autorisierungsanfrage dar. Dieses transaktionsindividuelle Limit wird durch den 
RiskScore als Malus vermindert ("gleitendes Transaktionslimit"). 
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Die NFI entscheidet nun durch einfachen Vergleich, ob ein Referral eizeugt 
werden soli oder nicht. Ein Referral wird inuner dann erzeugt, wenn der zur 
Autorisierung angefiagte Betrag uber dem transakdonsindividuellen Limit liegt 
Durch die Grdfien "Referralsperre" und "Referral_bis" kann die Entscheidung der 
NFI modifiziert werden. 

Die weiteren drei GroBen stellen die Entscheidung der NFI bezuglich der 
Fallgenerierung dar. Die Fallwichtigkeit stellt dar, in zu welchem Grade die 
aktuelle Autorisierungsanfrage als Fall erzeugt werden soil. Liegt dieser Wert 
uber der Fallschwelle, so wird fiir die Autorisierung ein Fall erzeugt. Zusatzlich 
wird als Begrundung der Entscheidung, einen Fall aus dieser 
Autorisierungsnachricht zu generieren, ein Text "Fallklasse" erzeugt, der die 
Verdachtsart mit Worten beschreibt. Diese Beschreibung wird von dem 
Mitarbeitem des Investigation Workflow genutzt, um eine gezielte 
Emiittlui^sarbeit duichfuhren zu kSnnen. 

Diese Ausgangsgrofien der NFI werden direkt mit der gesamten Information zu 
der Autorisierung an die Autorisierungsanfrage ubertragen. Die bestehende 
Software zur Autorisierung bearbeitet diese Information dann weiter. 

Nach der Berechnimg der NFI ubergibt die NFI an das System die aktualisierte 
Zeitreihe. Das System speichert diese in der Cardholder File, um sie bei der 
nachsten Autorisienmgsanfeige dieser Kartennummer wieder an die NFI zu 
fibergeben. 

Die eigentlichen Entscheidungsregeln der NFI werden in einer Datei auf dem 
Autorisierungsrechner abgelegt. Diese Datei wird von dem 
Entwicklungswerkzeug auf dem PC erzeugt. 
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♦ 

Im folgenden wird die Entscheidungslogik naher erlautert. Dabei werden folgende 
^ Abkiirzungen verwendet: 

Tabelle 1 

5 



AvailBal 


Noch verfugbarer Betrag auf der Karte 
in Euro 


Betrag 


Betrag, der zur Autorisierung angefragt 
wird (in Euro) 


orancnenL^oae 


Einzelne Branchencodes 


Branchenklasse 


Klasse der Branche, zu der der VP gehort 


CountryCode 


Landercode aus der Autorisierungsnachricht | 


CurrencyCode 


Wahrungscode aus Autorisierungsnachricht 


GAC 


Action Code aus Listendefinition 


ICA^BIN 


Herkunft der Transaktion 


Inanspruchnahme 


Noch zu definieren! 


Kartenaiter 


Alter der Karte in Tagen gemessen an der 
Zeit, die seit "guitig ab neu" vergangen ist 


Kartenlimit 


Limit der Karte in Euro 


KI_Range 


Zugehdrigkeit der Kartennummer zu 

Ranges, die 

als Liste definiert sind 


letzte Antwort 


Wie lange ist der letzte beantwortete 
Referral/Callme her? 
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1 letzte GAA 


n 

Zeit, die seit der letzten GAA-Abhebung 
vergangen ist 


letzter Referral 


Wie lange ist der letzte Referral/Callme her? 


Mandant 


Identifikation des Ndandanten 


Merchant ID 


Nlerchant ID aiis Listendefinitinn 


Panikfaktor 


ist noch 711 definieren' 


POS Einsabe 




Xerminal ID 


■iwliiUlicll l.J_y aU^ J^iolwiiUClilliliUIl 


ZOl 


i^iii^eui^ovaiiaLiic uco #,*aincra ywv^L^ 


Z02 




1 Z03 




Z04 




Z05 




Z06 




Z07 




Z08 


Eingangsvariable des Zahlers XXXX 


Z09 


Eingangsvariable des Zahlers XXXX 


ZIO 


Eingangsveiriable des Zahlers XXXX 


Zll 


Eingangsvariable des Zahlers XXXX 


Z12 


Eingangsvariable des Zahlers XXXX 


Zeitreihenlange 


Zahl der aktuell in der Zeitreihe 
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gespeicherten | 
Autonsieningsanfragen 


1 Decline 


Erzeugen eines "harten" Declines 


Fallklasse 


Erklarung, welche Fraud Supervisory and 
Fraud 

Investigation "ubergibt", um darzusteilen, 
warum 

gerade dieser Fall erzeugt wurde 


Fallschwelle 


Dies ist die Moglichkeit, in fiizzyTECH 
"variabel" 

eine Schwelle fur die Fallgenerierung zu 
definieren 


Fallwichtigkeit 


Giad, in dem die aktuelle 
Autorisierungsanfi:age als 
"fallwiirdig" betrachtet wird 


1 GansLimit 


Transaktionslimit (nach Benutzerregeln 
bestimmt (in Euro)) 


1 RisikoScore 


— 

Risikoscore, der zur Bestimmung des 

gleitenden Transaktionslimit zugrundegelegt 
wird 


Regel-Limit 


Transaktionslimit (nach Benutzerregeln 
bestimmt) 


1 Berechne MBF 


Berechne Membership Funtion 
(Fuzzifizierungsmethode) 
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CoM 


Center of Maximum 
rDefuzzifizieruncsmethode^ 




MoM 


Mean of Maximum 


5 




(Defuzzifizierungsmethode) 




Vorgabe 


Setzen einer ProzeBvariablen 
(Visualisienmgsinterface) 




BSUM 


Bounded Sum - Operator zur Berechnung 
der Ergebnis- 


10 




aggregation 




MIN 


Minimum-Operator (UND-Aggregation) 




MAX 


Maximum-Operator (ODER- Aggregation) 




GAMMA 


Kompensatorischer Operator fiir die 






Aggregation 




PROD 


Fuzzy Operator fiir die Komposition 




LV 


Linguistische Variable 


20 


MBF 


Zugehorigkeitsfunktion (Membership 
Function) 




RB 


Regelblock 

— . — _ 



Die Systemstruktur beschreibt den DatenfluB in dem Fuzzysystem, 
Eingsmgsinterfaces fuzzifizieren dje EingangsgroBen. Hierbei werden 
Analogwerte in Zugehorigkeitsgrade umgesetzt, Dem Fuzzifizieren schlieBt sich 
die Fuzzy-Inferenz an: Mit in Regeiblocken festgelegten "wenn-dann" Regeln 
werden durch die EingangsgroBen sprachlich beschriebene AusgangsgroBen 
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festgelegt. Diese werden in den Ausgangsinterfaces durch eine Defuzzifizierung 
in analoge Grofien umgewandelt 

Die Figur 5 zeigt die Struktur flir dieses Fuzzysystem mit Eingangsinterfaces, 
RegelblScken und Ausgangsinterfaces. Die Verbindungslinien symbolisieien 
hierbei den Datenflufi. 
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Linguistische Variablen dienen in einem Fuzzysystem dazu, die Werte 
kontinuierlicher Grofien durch sprachiiche Begriffe 2x1 beschreiben. Die 
mogiichen Werte einer linguistischen Variablen sind keine Zahlen, sondem 
sprachiiche Begriffe, auch Tenne genannt. 

Fur alle Eingangs-, Ausgangs- und ZwischengroBen des Fuzzy-Systems werden 
linguistische Variablen definiert. Die Zugehorigkeitsfunktionen der Terme sind 
diirch Stutzstellen, die sogenannten Definitionspunkte, eindeutig festgelegt. 

Die folgende Tabelle listet alle linguistischen Variablen zusammen mit den 
Tennnamen auf . 
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Tabelle 2: Lineuistische Variablen 

7 





AvailBal 


niedrig, mittel, hoch 


5 


Betrag 


niedrig, mittel, groBer_IOOO, hoch 




BranchenCode 


FlugAllg, Kaufhaus, Pelze, Teppiche, 
Schallplatten, Nacht- 

luivaic, waixcji5prui, Juwciicr, roio, i^cQcr, 
alle Banking, 


10 




HotelAlIg, alleSerMCC, Massage, 
AutoAlIg, FimFreizeit 




Bianchenklasse 


Hotel, Airlines, Auto, Bui2_serv, 






Clothing, contrctd_services, mail-order. 


IS 




misc__store, nicht531 1, pers_services, retail, 
services, transportation, 
utilities, -cashing 






Agjrpten, Brasilien, Equador, Hongkong, 


20 




Indonesien, Israel, 

Kolumbien, Malaisia, Marokko, Mexiko, 
Singapur, Thailand, Tilrkei, Venezuela, 
Kanada 




CurrencyCode 


f_firaric, drachme, forinth, gulden, i_lira. 


25 




peseta, pfund 




GAC 


bad_cvc 




ICA_BIN 


Visa__quer, mexiko_spezial, - 
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10 





mexiko_spezial 


Inanspruchnahme 


niedrig, mittel, hoch 


Kartenalter 


sehr_neu, neu, alt 


Kartenlimit 


niedrig, mittel, hoch 


KI_Range 


kein_range, fraud^nz, alle_anderen 


letzte Antwort 


gerade_erst, v_lang_her 


letzte GAA 


gerade_erst, mittel, lang_her 


letzter Referral 


gerade_erst, v_iang_her 


Mandant 


kein_mandant, gzs, airplus 


Merchant_ID 


wempe 


Panikfaktor 


niedrig, mittel, hoch 


POS_Eingabe 


unbekannt, imbek_o_manuell, manuell, 
gelesen, electr_ 
commerce, gelesen_gepriift 


Tenninal_ID 


krimin_figaro 


ZOl 


mehr_als_vier 


Z02 


mehr_als_vier 


Z03 


mehr_als_vier 


Z04 


mehr_als_vier 


Z05 


mehr_als_vier 


Z06 


mehr_als_vier 


Z07 


mehr ais vier 
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Z08 


m^hi* flic v/ipT 
iiiciu aid viwi 


Z09 


tn^hr silc x/tt^T 
iiiwiir old vicr 


ZIO 


niehr__ais_vier 


ZU 


mehr_als_vier 


Z12 


mehr_als_vier 


Zeitreihenlange 


hoch 


Decline 


kein^decline, decline 


Fedlklasse 


counterfeit, hongkong, cvc_queue, ungam, 
watchlist, 

fu well ere 


Fallwichtigkeit 


unverdachtig, mittel, verdachtig 


Limit 


_0,_100,_250,_500,_1000,_2500,_7500 


RisikoScore 


unverdachtig, mittel, verdachtig 


Profil 


unverdachtig, riskant 


Regel-Limit 


0, 100, 250, 500, 1000, 2500, 7500 1 



Die Eigenschaften der Basisvariablen sind in der folgenden Tabelle aufgelistet. 



Tabelle 3: Basisvariablen 

25 



Variablenname 


Min 


Max 


Default 


Einheit 


1 AvailBal 


0 


20000 


0 


Euro 
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1 Betrag 


0 


20000 


0 


Euro 




BranchenCode 


0 


9999 


0 


MCC 




Branchenklasse 


0 


32 


0 


Codewert_Liste 


5 


CountryCode 


0 


999 


0 


CC_SchHissel 




CurrencyCode 


0 


999 


0 


CC_Schliissel 




GAC 


0 


32 


0 


Codewert_Liste 




ICA_BIN 


0 


32 


0 


Codewert_Liste 


10 


Inanspruch- 
nahme 


0 


100 


0 


Prozent 




Kartenalter 


0 


100 


0 


Tage 




Kartenlimit 


0 


20000 


0 


Euro 


KI.Range 


0 


32 


0 


Codewert_Liste 




letzte Antwort 


0 


45 


45 


Tage 




letzte GAA 


0 


45 


0 


Tage 


20 


letzter Refenal 


0 


45 


45 


Tage 




Mandant 


0 


32 


0 


Codewert_Liste 




Merchant_ID 


0 


32 


0 


Codewert_Liste 




Panikfaklor 


0 


100 


0 


Prozent 


25 


POS_Eingabe 


.0 


32 


0 


POS_Entry_ 
Mode 




1 Tenninal_ID 


0 


32 


0 


Codewert_Liste | 
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ZOl 


0 


32 


0 






Z02 


0 


32 


0 


A 11751 111 




Z03 


0 


32 


A 
\J 


Ati7Si1i1 


c 


Z04 


0 




A 
U 


A M V A n 1 

AnZaQI 




Z05 


n 
yj 




A 


Ail Zn ill 




706 


n 

\3 




A 
U 


Anzanl 


10 


707 


A 
1/ 




U 


Anzanl 


708 


n 
u 


JZ 


A 

u 


Anzanl 




70Q 


A 

V 


JZ 


u 


Anzanl 




ZIO 


A 

V 


^Z 


A 
U 


Anzahl 


15 


Zl 1 


A 
1/ 


^Z 


U 


Anzahl 




Z12 


A 

w 


^Z 


A 
U 


Anzahl B 




7ei trfti h 1 3 n <y ^ 


A 

vr 


^z 


A 


AutonAnfiragen | 




Decline 


0 


1 


0 




20 


Fallklasse 


0 


32 


0 


Codewert_Liste 




Fallschwelle 


0 


1000 


750 


Schwelle 




Fallwichtigkeit 


0 


1000 


0 


Promille 


25 


Limit 


0 


30000 • 


0 


Euro 




RisikoScore 


0 


1000 


0 


Promille 



Der Defaultwert wird von der Ausgangsvariablen angenommen, wenn fur diese 
Variable keine Regel feuert. FQr die Deftizzifizierung konnen unterschiedliche 
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Methoden eingesetzt werden, die entweder das "plausibelste Resultat" oder den 
"besten" KompromiB liefem. 

Zu den kompromifibildenden Verfahren gehdren: 
CoM (Center of Maximum) 
CoA (Center of Area) 

CoA BSUM, eine Variante fUr effiziente VLSI-Implementierungen 

Das "plausibelste Resultat" liefem: 
MoM (Mean of Maximum) 

MoM BSUM, eine Variante fur effiziente VLSI-Implementierungen 

Die folgende Tabelle listet alle mit einem Interface verknupften Variablen auf, 
sowie die entsprechende Fuzzifizierungs- bzw. Defuzzifizierungsmethode. 

Tabelle 4: Interfaces 



Variabienname 


Typ 


Fuzzifizierung/ 
Defuzzifizierung 


AvailBal 


Eingang 


Berechne MBF 


Betrag 


Eingang 


Berechne MBF 


BranchenCode 


Eingang 


Berechne MBF 


Branchenklasse 


Eingang . 


Berechne MBF | 


CountryCode 


Eingang 


Berechne MBF 1 


CurrencyCode 


Eingang 


Berechne MBF 
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5 



15 



20 



GAC 


Eingang 


Berechne MBF 


ICA^BIN 


Eingang 


Berechne MBF 


Inanspruchnahme 


Eingang 


Berechne MBF 


Kartenalter 


Eingang 


Berechne MBF 


Kartenlimit 


Eingang 


Berechne MBF 


KI_Range 


Eingang 


Berechne MBF 


letzte Antwort 


Eingang 


Berechne MBF 


letzte GAA 


Eingang 


Berechne MBF 


letzter Referral 


Eingang 


Berechne MBF 


Mandant 


Eingang 


Berechne MBF 


Merchant_ID 


Eingang 


Berechne MBF 


Panikfaktor 


Eingang 


Berechne MBF 


POS_Eingabe 


Eingang 


Berechne MBF 


Tenninal_ID 


Eingang 


Berechne MBF 


ZOl 


Eingang 


Berechne MBF 


Z02 


Eingang 


Berechne MBF 


Z03 


Eingang 


Berechne MBF 


Z04 


Eingang 


Berechne MBF 


Z05 


Eingang 


Berechne MBF 


Z06 


Eingang 


Berechne MBF 


Z07 


Eingang 


Berechne MBF 

1 
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15 





ningang 


— 

Rerechne MBF 




oingang 


Derechne MBF 


ZIO 


Cringang 


Rerechne I^BF 


Til 

Zll 


cingang 




Z12 


Eingang 




ZeitreihenlMnge 


Eingang 


jseiwcmic lYLLjr 


Decline 


Ausgang 


MoM 

. 


Fallklasse 


Ausgang 


MoM 


Fallschwelle 


Ausgang 


Vorgabe 


Fallwichtigkeit 


Ausgang 


CoM 


Limit 


Ausgang 


MoM 


RisikoScore 


Ausgang 


CoM 1 



Reeelbldcke 

Das Verhalten des Reglers in den verschiedenen ProzeBsituationen wird durch die 
RcgelblScke festgelegt. Jeder einzelne Regelblock enthSlt Regeln fur einen festen 
Satz von Eingangs- und Ausgangsvariablen. 

Der "wenn"-Teil der Regeln beschreibt dabei die Situation, in der die Regel gelten 
soil, der ''dann"-TeU die Reaktion hierauf. Durch den "Degree of Support" (DoS) 
kann hierbei den einzelnen Regeln ein unterschiedliches Gewicht gegeben werden. 
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Zur Auswertung der Regeln wird zuerst der "wenn"-Teil berechnet. Hierbei 
konnen verschiedene Verfahren eingesetzt werden, die dnrch den Operatortyp des 
Regelblocks festgelegt sind. Der Operator kann vom Typ MIN-MAX, MIN-AVG 
Oder GAMMA sein. Das Verhalten des Operators wird zusatzlich durch eine 
Parametrisierung beeinflnBt. 

Beispielsweise: 

MIN-MAX, mit dem Parameterwert 0 = Minimum-Operator (MIN). 

MIN-MAX, mit dem Parameterwert 1 = Maximum-Operator (MAX). 

GAMMA, mit dem Parameterwert 0 = Produkt-Operator (PROD). 

Der Minimum-Operator ist die Verallgemeinerung des boolschen "und" und der 
Maximum-Operator ist die Verallgemeinerung des boolschen "oder". 

Die Ergebnisse der einzelnen Regeln werden bei der anschliefienden Fuzzy- 
Composition zu Gesamtschlufifolgerungen zusammengefafit. Die BSUM- 
Methode betrachtet hierbei alle fur einen Zustand feuemden Regeln, wahrend die 
MAX-Methode nur dominante Regeln beriicksichtigt. 
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1. Auf einem Recfaner realisiertes Verfahren zum Identifizieren und 
Ennitteln betriigerischer Transaktionsdaten in einem rechnergesteuerten 
Transaktionsverarbeitungssystem mit einem Vorhersagemodell zum Empfangen 
aktueller Transaktionsdaten, Verarbeiten der aktuellen Transaktionsdaten und 
Ausgeben wenigstens eines Ausgangswertes, der eine Wahrscheinlichkeit einer 
betrugerischen Transaktion wiedergibt, bei dem auf Grundlage gespeicherter 
Daten zu 

- einer Zeitreihenanalyse fruherer Transaktionen beziiglich des gleichen 
Zahlungsmittels bzw. Benutzers und 

- Experteniegeln hinsichtlich bei betrQgerischen Transaktionen statistisch 
signifikant gehSuft aufbetenden Parametem, insbesondere bezuglich der Herkunft 
des Zahlungsmittels/Benutzers, der Branche und der Person des durch die 
Transaktion BegOnstigten, sovde Hohe bzw. Wert der Transaktion, mittels des 
Vorhersagemodells die Bewertung hinsichtlich des Risikos erfolgt, daB die 
aktuelle Transaktion betrugerisch ist, und ein entsprechender Ausgangswert 
erzeugt wird, 

dadurch gekennzeichnet, daB das PrSdiktionsmodell ein im wesentlichen auf 
den Expertenregebi basierendes, fur die Art der Transaktion, spezifisches Limit 
mit einem im wesentlichen auf der Zeitreihenanalyse basierenden fur die aktuelle 
Transaktion spezifischen Wert kombiniert, vm den Ausgangswert zu erzeugen, 

wobei die Kombination gleitend erfolgt, so dafi je nach Starke des 
Mifibrauchsverdachts verschiedene Ausgangswerte erzeugt werden konnen, die 
zur Ausldsung unterschiedlicher Reaktionen aiif der aktuellen Transaktionsanfrage 
benutzt werden k5nnen. 
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2. Verfahren nach Anspmch 1, bei dem die Zeitreihenanalyse in Fonn von 
Fuzzy-Logik-Regeln implementiert ist. 

3. Verfahren nach Anspruch 1 oder 2, bei dem die Expertenregeln in Form 
von Fuzzy-Logik-Regehi implementiert sind. 
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TRANSiBllON OF INTERNATIONAL APP^ATION 

v.- '^:z!l^r^^m CLAIMS 

1 . A method which is implemented on a computer and which is provided for 
identifying and determining fraudulent transaction data in a computer-controlled transaction 
processing system comprising a prediction model for receiving current transaction data, for 
processing the current transaction data, and for outputting at least one output value that 
depicts a probability of a fraudulent transaction, wherein, on the basis of stored data, for 

a time series analysis of earlier transactions with respect to the same means of 
payment or user, and 
- expert rules conceming parameters which occur in a statistically significant 
cumulative manner during fi-audulent transactions, especially with respect to the 
origin of the means of payment/user, to the branch and to the beneficiary of the 
transaction, as well as to the magnitude or value of the transaction, the evaluation 
is carried out by means of the prediction model with respect to the risk of the 
current transaction being fi-audulent, and a corresponding output value is 
generated, 

wherein the prediction model combines a limit, which is essentially based on the expert rules 
and which is specific for the type of transaction, with a value, which is essentially based on 
the time series analysis and which is specific for the current transaction, in order to generate 
the output value, 

the combination being carried out in a floating manner so that output values can be 
generated which vary according to the extent of the suspicion of misuse and which can be 
used to initiate different reactions to the current transaction request. 

2. The method according to claim 1, wherein the time series analysis is implemented 
in the form of fiizzy logic mles. 

3. The method according to claim 1 or 2, wherein the expert rules are implemented in 
the form of fiizzy logic rules. 
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